Internet Watch logo
記事検索
最新ニュース

Yahoo! BB個人情報流出について個人情報管理諮問委員会が答申

~ソフトバンクBBの迅速な対応は評価すべき

 ソフトバンクBBが設置した個人情報管理諮問委員会は18日、ソフトバンクBBの顧客情報に関する恐喝未遂事件の検証結果について、第1回答申の内容を説明する記者会見を行なった。会見ではソフトバンクBBの対応について「迅速な対応は評価すべき」との意見が示された。


一企業ではなく、日本社会全体に対する警告?

初代内閣広報官の宮脇磊介(らいすけ)氏
 この個人情報管理諮問委員会は、2月下旬に発覚したYahoo! BBの個人情報漏洩事件を受けて設置されたもの。初代内閣広報官の宮脇磊介(らいすけ)氏、金融審議委員会の高橋伸子氏、弁護士の牧野次郎氏で構成されている。今回の記者会見ではこの3名のほか、同日に設置された技術諮問委員会から東京電機大学工学部情報メディア学科の佐々木良一教授が出席した。

 答申内容の説明に先立ち、宮脇氏が今回の事件について危機管理の視点から感じた意見を披露した。宮脇氏は「一企業の問題ではなく、企業・社会・政府自治体の問題である」と指摘、「いつどこでもこの種の事件が起きておかしくはない状況で、日本社会全体に対する警告と受け止めなければならない」と語った。

 危機管理の視点から見たソフトバンクBBの対応について宮脇氏は「これまでの日本の企業文化とは異なり、メリハリの効いた対応」と評価。具体的には「事件発生を隠蔽せず積極的に情報を公開した」「第3者である諮問委員会による客観的な対策」「阿多親市氏による指揮命令系統の一元化」を挙げ、「オープンかつスピーディな対応は今後のキーワードになるのではないか。今後のモデルになって欲しい」と語った。


流出経路が判明していない現段階では推測にすぎない

 続いて答申の詳細について弁護士の牧野氏が説明を行なった。答申のポイントとして牧野氏は「2つの情報漏洩事件をどう見るべきか、管理体制はどうだったのか、事件後の対応は適切だったのかなどを消費者対応も含めて判断した」と説明。ただし容疑者がすべてを自供しているとは思えず、入手経路も判明していない現段階では「我々の検討も推測にならざるを得ない」とコメント。「我々はセキュリティのスペシャリストではないので、専門家に意見をいただくために技術諮問委員会を設置した」と付け加えた。

 答申の内容は、被告人のアルファベットごと「K事件」「Y事件」と区別した上で説明が行なわれた。K事件については「被告人Kが中部サポートセンターに勤務しており、内部で犯行が行なわれた可能性はあるが、被告人Kは2003年6月に退職、長期間が経過しているため入手時期が断定できない面がある」とコメント、さらなる調査が必要だとした。

 システム担当者や責任者への事情聴取の結果、サポートセンター内部での犯行は「机やディスプレイが隣同士で確認できるほど隣接して配置され、スーパーバイザー(SV)が巡回監視を行なっていたということから、常識的に考えて勤務時間中の犯行は困難だろう」という。作業内容も午前と午後にSVが指示するほか、勤怠もSVがタイムカードで管理、始業の際も鍵を社員が管理するため、被告人Kが単独で入ることはできなかったという点も付け加えられた。


サポートセンターではWebメールが利用可能だった

弁護士の牧野二郎氏
 サポートセンターで管理している顧客情報は通常1名ずつしか表示できず、利用マニュアルでも1名ずつの表示するよう説明を行なっていたという。ただし工事部門が工事・事故に対応するため、局舎や地域ごとに顧客情報を一覧できる機能も搭載されており、この一覧機能は2003年8月まで停止されていなかったという。ただし、被告人Kが一覧機能を利用した記録は残っていないほか、一覧で表示できるのは最大で数千件程度のため、「56万件の情報を入手するには長期間の作業が必要で、現実的ではないだろう」との意見も示された。

 サポートセンターのPCはフロッピーディスクドライブ非搭載機種が選択されており、外部記録装置も付属していない。USBポートは搭載されているが、作業机が整理整頓されているために「(外部記録装置を使うような)怪しい利用は不可能だったと思われる」という。ただし、PCはインターネットに接続されており、Webメールも自由に使える環境だったため「メールを使ってデータを取得したのではないか」という推測も示された。サポートセンターではユーザーからの質問に対応するためにインターネットが必要だったが、今ではフィルタリングで10数サイトのみアクセスできるよう制限されているという。

 法的な管理責任については「入退室などの管理体制は保たれていた」「常時複数名のSVがスタッフを管理しており、業務中の犯行は困難と判断できた」「サポートスタッフが利用すべきでないシステムが提供されていた問題はあるが、全国一律のシステムであり、サポートセンターの急成長にシステムが十分対応していなかった問題があるなど、現場の管理が及ばない事情があったことも否定できない」とし、「システム上の管理義務違反については疑問の余地なしとはしないが、総合判断としては管理義務違反とはまでは言えない」と結論づけた。


「WEPは簡単には破られない強固なシステム」

 一方のY事件については「データベース情報の持ち出しまたはクラッキングがあったと考えられ、その経緯と対策が問題になる」との前提が示された。入手経路については被告人Yのほか、関連してT、Mが逮捕されたが、いずれも入手経路については確定的な証拠が得られず、外部犯行か内部犯行かの断定はできない状況だという。ただし、今回逮捕されたY、T、Mの3名とも「パソコンを使いこなせないという話を聞いている」とし、起訴された人物以外にも複数の犯人が背後にいる可能性を示唆した。

 現時点で推測される個人情報の入手経路は「外部からのハッキング」「リモートアクセスを悪用した侵入」「無線LANによる侵入」「正規パスワード所有者によるもの」「正規パスワードを漏らされた者の侵入」の5通りだという。牧野氏は「これは全く証拠がない推測だが」と前置いた上で、「クラッキングが本当になかったかどうかはわからないが、現実的な可能性があるのは正規パスワードを利用した方法ではないか」とコメント。「パスワードは比較的正確な管理がなされていたので、パスワードの漏洩よりも正規パスワード所有者による可能性が高いだろう」とした。

 なお、ソフトバンクBB付近のコンビニエンスストアから社内の無線LANに接続できたという一部報道を受け、無線機器の調査も実施したという。その結果、社内ネットワークにはIDとパスワードがなければアクセスできないほか、アクセスポイントにもWEPが設定されていたと説明。「WEPはそう簡単には破られない強固なシステムだと認識している」との意見を示したのち、「IDとパスワードがあればわざわざ外部からアクセスする必要はないだろう」と無線LANによる流出の可能性を否定した。


信用情報は別管理のため流出していない

記者会見の出席者。左から弁護士の牧野次郎氏、初代内閣広報官の宮脇磊介(らいすけ)氏、金融審議委員会の東京電機大学工学部情報メディア学科の佐々木良一教授
 データベースで保管されていた情報の詳細は「何が抜き取られたかを明確にする必要がある」とコメント。調査の結果、ソフトバンクBBでは顧客情報と回線情報を管理、課金に関する信用情報はヤフーが管理していたことが確認されたほか、ヤフーの信用情報は最高度の安全度が確保されており、流出した情報に信用情報が含まれていなかったことから「ヤフーのデータベースは盗難にあっていない」との判断に至ったという。

 データベースに直接アクセスできる135名という数字が多いのではないかという一部報道の指摘には「データベースが巨大なため、単純に他のシステムと比較はできない」と前置きした上で、「感覚的には大きい数字であることは否めない」とコメント。パスワードの適正管理という観点からは「必要最低限のパスワード設定、階層的なアクセス設定が導入されるべきだった」と指摘した。

 また、パスワードの管理方法については「セキュリティに関する注意規定の中に“IDとパスワードの管理”という文書が作成されていたため、管理教育が行なわれていたと認められる」という。原簿によるパスワードの保有者管理も行なわれている点を踏まえ、「通常のパスワード管理体制は確立されており、“ずさん”とはいえない」と結論づけた。


お詫び料の500円は「妥当性のある金額」

 今回判明した2つの流出事件については「ほぼ同時期に行なわれており、両社の関係性が強く推測されるが、その関連性を示す資料は見られない」とし、未だ流出原因が特定できていない現状を説明した。また、K事件については「Kは“公園で拾った”と言っているが、被告人宅からパソコンなど1式を押収したため、オリジナルデータを確保できたのではないか」とコメント。一方のY事件は「恐喝の際にオリジナルデータを持ってくるとは心理上考えにくい」とし、回収したデータがオリジナルかどうかについては疑問の余地があるという。

 オリジナルデータがまだ回収できていないという可能性があること、被告人以外にも複数犯が存在する可能性があるといった点から、今後2次流出が発生する可能性も否定できないという。ただし、一連の報道などの影響も踏まえて「(他に犯人がいたとしても)今は身動きがとれないだろう」との意見が示されたほか、匿名掲示板やファイル共有システム「Winny」を監視する限りはそのようなデータは見受けられず、「現時点で2次流出は確認できていない」とした。

 顧客へ対するお詫び料の「500円」という額については「これまで個人情報流出が発覚したローソン、アプラス、ファミリーマートといった事例が500~1,000円の範囲で決められている」という事例を挙げ、「妥当性のある金額だろう」という見解を示した。


「今後は性悪説に変わらざるを得ない」と孫社長

 セキュリティ対策の改善については、阿多親市氏を中心としたセキュリティ委員会を組織、「顧客情報の保護に関わる緊急対策」を公表した点が高く評価できるとコメント。物理的な安全対策も進められているほか、オリジナルデータベースへのアクセス権限を3名に制限するといった対策が確認できていると報告した。

 諮問委員会からソフトバンクBBへの提言としては「会社組織の再検討と指導体制の確立」「各部門を監査する専門委員会の設置」「PKI技術による本人確認制度の採用」が挙げられた。牧野氏は情報犯罪立法についても指摘。「顧客名簿の持ち出しについては犯罪とならない法体制は立法の”脆弱性”である」として、法改正の要求も必要だと訴えた。

 今回の答申内容を孫正義代表取締役社長に報告したところ、孫社長は「いままで性善説を持ってやってきたが、従業員を疑う性悪説に変わらざるを得ない」と感想を述べたという。また、「誇りを持って仕事をできる環境を作って欲しい」という提言には孫社長が「大きくうなずいていた」という点も付け加えられた。

 今回の答申は、あくまで現時点で与えられた情報を検討した結果、「社会常識に基づいて著しく劣ってはいない」という判断に基づくという。牧野氏は委員会で行なったサポートセンター視察の際に「サポートセンター業務については知識がなかったので本で調べた」とコメント、「本で得た知識と比較すれば、通常のサポートセンター業務と遜色のないものだった」と述べた。


関連情報

URL
  ソフトバンクBB
  http://www.softbankbb.co.jp/
  関連記事:“Yahoo! BB顧客情報漏洩事件”特集
  http://internet.watch.impress.co.jp/static/index/2004/03/01/ybb.htm


( 甲斐祐樹 )
2004/03/18 23:21

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.